SAP NetWeaver の脆弱性 CVE-2025-31324:Qilin ランサムウェアが積極的に悪用か?

SAP NetWeaver RCE: Zero-Day Allows File Uploads, Qilin Ransomware Connection

2025/05/20 SecurityOnline — SAP NetWeaver Visual Composer の深刻な脆弱性 CVE-2025-31324 (CVSS:10) が、情報公開の数週前の時点で、実際に悪用されていたことが、OP Innovate の調査により明らかになった。この脆弱性の悪用については、情報公開後に発生したと考えられていたが、OP Innovate のインシデント対応レポートが、それを覆した。具体的に言うと、ロシア語圏の Ransomware-as-a-Service (RaaS) グループである Qilin が、この攻撃に関与した可能性があるという。

OP Innovate の Matan Matalon は、「大手グローバル企業向けに、当社が実施したインシデント対応において、この脆弱性が公開の約3週間前から、積極的に悪用されていた証拠が発見された」と述べている。

この脆弱性は、SAP NetWeaver の “/developmentserver/metadatauploader” エンドポイントを標的としており、単純な HTTP リクエストを介した任意のファイル・アップロードにより、未認証の攻撃者に対して、Web シェルの実行などが許されるという。

同社のレポートは、「認証は不要である。攻撃の対象領域は、標準 HTTP(S) 経由で公開されている、広範なエンタープライズ SAP 環境となる」と警告している。何が深刻かと言えば、悪用経路が単純であり、完全なリモートコード実行の可能性があり、ランサムウェア攻撃者にとって強力な侵入経路になり得ることだ。

公開されている SAP メタデータ・アップローダーのエンドポイントの悪用により、イニシャル・アクセスは達成される。このエンドポイントが、ロード・バランサーのミスコンフィグにより、脆弱になっていた可能性が高いという。攻撃者は、”random12.jsp” や “xxkmszdm.jsp” などの JSP ベースの Web シェルを、SAP IRJ ディレクトリにアップロードし、無制限のコマンド実行を達成した。

脅威アクターの試行は以下のとおりである:

  • Cobalt Strike C2 サーバ (180[.]131[.]145[.]73、184[.]174[.]96[.]74) との通信
  • Qilin にリンクされた既知の IP アドレスからの、トンネリング・ペイロード (rs64c.exe) のダウンロード
  • それらのファイル名を “svchost.exe” に変更して実行用に準備

レポートには、「攻撃者は、トンネリング・ツール “rs64c.exe” を “http[:]//184[.]174[.]96[.]74/rs64c.exe” からダウンロードした。この IP アドレスは、Qilin にリンクされる IP アドレス 184[.]174[.]96[.]70 と同じ、サブネット内の IP アドレスである」と記されている。

この脆弱性の情報が公開されて間もなく、2件目の攻撃が確認された。そこでは、別種の Web シェルが使用され、”bashupload.com” からの “PowerShell” ベースのダウンロードが試みられた。しかし、前回と今回の攻撃を結びつける兆候は発見されなかったという。今回の攻撃も、防御ツールにより、実行前に無効化された。

複数の重複箇所から Qilin との関連性が示されている:

  • Cobalt Strike のインフラは、既知の Qilin 攻撃キャンペーンと関連している。
  • IP アドレスとファイルパスは、インドネシアの BSSN (National Cyber and Crypto Agency (BSSN) の IOC 速報と一致している。
  • Qilin の通常のユーティリティ “rs64c.exe” が、”C:\ProgramData\” に正確に配置されている。

このレポートには、「これらの直接的な重複箇所は、今回のインシデントで利用されたインフラが、既知の Qilin 攻撃と一致するという評価を、高い確度で裏付けている」と結論付けている。

エンタープライズにおける SAP システムの脆弱性の悪用と、脆弱性の露出を考慮し、OP Innovate は以下のことを推奨している:

  • SAP の緊急修正プログラムに対して速やかなパッチを適用する。
  • ロード・バランサーまたはプロキシ経由で、社内 SAP サービスの脆弱性を監査する、
  • 安全が確保されないデシリアライゼーションを検出するために、OP Innovate が開発した WASP スキャナーなどを導入する。

先月末に修正され、4月29日付で CISA KEV にも登録された SAP NetWeaver の脆弱性 CVE-2025-31324 ですが、公開の約3週間前からすでに積極的に悪用されていたことが明らかになりました。当該製品をご利用のチームは、十分にご注意ください。なお、この脆弱性については、過去にも取り上げています。よろしければ、以下の関連記事も、Qilin で検索と併せて、ご参照ください。

2025/05/09:CVE-2025-31324:悪用と中国の攻撃インフラ
2025/05/06:脆弱性 CVE-2025-31324:第二波の攻撃を観測
2025/04/30:脆弱性 CVE-2025-31324 が CISA KEV に登録
2025/04/25:脆弱性 CVE-2025-31324 の FIX:悪用を観測